Новый вредонос для Linux атакует web-сайты

image

Теги: троян, Linux, атака

Одной из особенностей трояна является возможность управления им посредством протокола IRC.

Специалисты ИБ-компании «Доктор Веб»  обнаружили  новую вредоносную программу, способную инфицировать операционные системы Linux. Функционал трояна позволяет сканировать удаленные ресурсы на наличие уязвимостей, а также атаковать web-сайты с заданными адресами по протоколу HTTP. Одной из особенностей трояна является возможность управления им посредством протокола для обмена текстовыми сообщениями IRC. Вредонос получил название Linux.BackDoor.Sessox.1 (по классификации «Доктор Веб»).

По словам специалистов, после инфицирования вредонос регистрирует себя в параметрах автозагрузки. Затем он подключается к серверу, на котором работает чат, поддерживающий обмен текстовыми сообщениями по протоколу IRC. В этом чате троян получает команды от преступников, например, зайти в чат-канал IRC с заданными регистрационными данными, передать информацию о времени работы зараженного компьютера или отправить на сервер сообщение PONG (в ответ на команду PING).

Помимо прочего, троян может выполнять специальные действия, в том числе атаковать определенный интернет-ресурс путем отправки повторяющихся GET-запросов и просканировать сервер на наличие  ShellShock-уязвимости , позволяющей удаленно выполнить на этом сервере код.

Троян способен выполнять сканирование PHP-сценариев с помощью специальным образом сформированных POST-запросов с целью запуска постороннего скрипта на уязвимом сервере. Также атакующий может установить копию трояна в скомпрометированной системе, тем самым обеспечивая его распространение. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.